14.Linux安全设置

• 安全策略selinux

1. Selinux是Redhat/CentOS系统特有的安全机制;

2. 因为这个东西限制太多,配置也特别繁琐,故一般装完系统,会把selinux关闭;

3. selinux伴随linux的启动而启动,如果要关闭selinux,需要修改配置文件/etc/selinux/config:

4. 从配置文件注释可以看出,SELINUX=disable即可关闭

   image.png

   ---

   setenforce:设置selinux的状态

     setenforce 0  关闭selinux
     setenforce 1  开启selinux
   ++++++
     setenforce 0
   

   image.png

   ---

   getenforce:显示当前selinux的状态

     enforcing  启用
     permissive  关闭
   ++++++
     getenforce
   

   image.png

• 防火墙

1. linux上强大的防火墙iptables

2. iptables的三个表:

   filter	这个表主要用于过滤包,系统预设(常用)
   INPUT	作用于进入本机的包
   OUTPUT	作用于本机送出的包
   FORWARD	作用于与本机无关的包
   nat	主要用于网络地址转换(不常用)
   PREROUTING	如果需要,在包刚到达防火墙时更改它的目的地址
   OUTPUT	改变本地产生的包的目的地址
   POSTROUTING	在包要离开防火墙之前改变其源地址
   mangle	标记包,根据标记操作包(几乎不用)

   ---

iptables:设置防火墙规则

  1.查看规则:
    iptables -nvl  查看fliter表的所有规则
    iptables -t nat -nvl  查看nat表的所有规则
  2.删除规则:
    iptables -F  清除所有filter表的规则,-t可以指定表
    iptables -Z  流量计数器置0
  3.增加/删除一条规则:
    iptables -A INPUT -s 172.16.1.219 -p tcp --sport 1234 -d 172.16.1.209 --dport 80 -j DROP
    (增加一条规则,如果-A换成-D则表示删除规则) 
      -t:指定表,默认是fliter
      -A:增加一条规则   -D:删除一条规则   -I:插入一条规则
      INPUT:即链名称
      -s:源地址
      -p:协议(tcp;udp;icmp)
      --sport:源端口  --dport:目标端口
      -d:目的ip(主要针对内网或外网)
      -j:触发规则后的动作  DROP:丢掉包  REJECT:拒绝包  ACCEPT:允许包
  4.例:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
      fliter表INPUT链中增加一条规则
      省略源&目标地址,表示所有源和目标
      协议类型tcp
      目标端口22
      处理方式ACCEPT

防火墙开关:
通过服务脚本开关
service iptables start 启用防火墙
service iptables stop 关闭防火墙